Cos'è un YubiKey e come funziona?

Il YubiKey è disponibile in diverse varianti, ad esempio YubiKey 4 e YubiKey U2F. Tutti i YubiKeys sono token hardware e sono collegati a una porta USB. La maggior parte ha un pulsante induttivo e un modello ha anche NFC (il YubiKey Neo ). Le varianti sono diverse per quanto riguarda il fattore di forma e il numero di funzioni supportate .

Il YubiKey 4 offre diverse funzioni:

• OTP generazione
• Generazione OTP compatibile OATH (ovvero HOTP e TOTP )
• emula un lettore di schede chip con la scheda chip OpenPGP inserita (fino a 4K bit RSA o 256 bit ECC dimensioni della chiave privata)
• agire come dispositivo PIV (fino a 2K bit RSA o 256 bit ECC dimensioni della chiave privata)
• agire come U2F dispositivo
• riproduce una password statica

Per alcune delle sue funzionalità si presenta come un dispositivo USB HID .

Esistono soluzioni alternative disponibili che forniscono un simile o un sottoinsieme del multi-feature YubiKey 4. Ad esempio, i lettori di schede chip hardware classiche (magari dotate anche di tastiera) in combinazione con una chipcard OpenPGP compatibile.

Il YubiKey U2F è solo un dispositivo U2F, cioè un dispositivo è in grado di generare una coppia di chiavi pubblica / privata specifica di origine e restituisce un handle chiave e una chiave pubblica al chiamante. Come altri dispositivi U2F poco costosi, le chiavi private non vengono archiviate, ma sono simmetricamente crittografate (con una chiave interna) e restituite come handle della chiave. Utilizzando il key-handle, il dispositivo U2f è quindi in grado di firmare una sfida, creando così una risposta come parte di un'autenticazione a più fattori.

Dato che U2F è uno standard aperto (che è anche spinto da aziende come Google), ci sono diversi token hardware U2F alternativi e poco costosi disponibili (cerca " FIDO chiave U2F ').

A quanto ho capito, Yubikey si comporta come una tastiera USB. Si collega al computer, si posiziona il cursore in un campo modulo, si preme il pulsante su Ubikey e si invia una stringa di testo di 44 caratteri al computer, come se si digitassero quei 44 caratteri. Il computer non conosce la differenza tra la digitazione o Ubikey che la genera.

Un sito web come un sito Wordpress con plugin Ubikey, o l'add-on Lastpass in Firefox, o qualsiasi altro sito web che ha un'opzione Ubikey, ha un modulo di login con username, password e password Ubikey. Immetti il nome utente e la password, posiziona il cursore nel campo Ubikey, quindi premi il pulsante Ubikey e immette la password Ubikey nel campo.

Quindi il modulo viene inviato e Ubikey viene convalidato in Ubicloud. Il sito Web controlla se la password Ubikey inserita è valida. Lo stesso Ubikey non si connette a Ubicloud. È solo un dispositivo che genera una stringa che lo invia agendo come una tastiera, e non si connette a Internet o nulla tranne che come quella tastiera.

Prima di iniziare, devi aggiornare il tuo account sul sito web per utilizzare Ubikey. Ciò significa che devi collegare la tua chiave all'account. In questo modo, Ubicloud può controllare il codice generato e convalidarlo contro il tuo account.

Il sito Web deve ovviamente implementare la funzionalità di Ubikey, disponibile come servizio gratuito per i proprietari di siti web.

Se l'Ubikey si perde, puoi utilizzare i normali metodi di recupero che il sito Web deve recuperare il tuo account e disabilitare Ubikey. Normalmente questo significa che ottieni un link per il recupero della password via e-mail, e quel link disabilita la funzione Ubikey nel tuo account.

Ho inviato il supporto di Ubikey per vedere se questa risposta è corretta. Hanno detto che questa spiegazione era corretta, tranne che spiegava solo una parte del modo in cui la chiave funziona.

Le altre risposte qui non forniscono alcuna spiegazione reale. Anche l'articolo di Linuxjournal non lo spiega in questo modo. La risposta accettata dà una risposta black-box - non quello che stavo cercando quando ho aperto questa pagina. Spero che questa risposta dia una spiegazione migliore e scrivere mi ha fatto capire meglio Yubikey.

Ne ho uno e li consiglierei! L'ho ottenuto gratuitamente dai ragazzi di Yubico, quando frequentavo BSidesLondon.

Consideralo come una chiave di sicurezza RSA, tranne che molto più piccolo, più economico e senza batteria. Si ottiene (essenzialmente) la stessa sicurezza, sebbene YubiKeys abbia uno spazio delle chiavi significativamente più grande di quelli RSA. Sono anche incredibilmente robusti e possono essere completamente immersi nell'acqua senza danni.

Ecco il mio:

Sochesembraunapubblicità,masonodavverofantastici.Rispettoalportareingirounmucchiodiquellechiavisicure,sonoquasiimpercettibilisuunportachiavi.

Perquantoriguardaillorofunzionamento,convalidanounserviziocloudsucuièinesecuzioneYubicoefornisconol'autenticazioneaduefattori.Tuttoilsoftwareserverèopen-sourceesonofelicichetupossaeseguireituoiserverdiautenticazione.Ècompletamentetrasparente.

Daiun'occhiataalloro sito web , ci sono un sacco di informazioni tecniche e descrizioni qui.

Dai un'occhiata qui link

Il seguente outtake è scritto da Dirk Merkel, autore dell'articolo precedentemente collegato:

Each time you press the button on the device, it generates a one-time password and sends it to the host machine as if you had entered it on a keyboard. This password then can be used by the service to authenticate you as a user.

Ti suggerisco di leggere l'articolo di 5 pagine perché questo è troppo da prendere in carico qui.

Da quello che ho capito, la password one-time è composta da diverse informazioni, come un timestamp (per quanto tempo la chiave è stata nel computer), un timbro di sessione Yubikey (quante volte lo hai collegato nel tuo computer), un codice speciale randomizzato, un timbro per il modo in cui potresti aver generato una password, ecc., quindi lo crittografa. Quindi esegue uno schiaffo su un codice speciale assegnato a quello specifico Yubikey, di cui esegue nuovamente la crittografia. Quindi viene inviato a Yubikey stesso (perché conoscono tutti i codici speciali) e verifica che la tua chiave sia corretta e qualsiasi altra cosa. Quindi indica a chiunque tu stia cercando di accedere, come Google, che sei la persona giusta, quindi Google ti consente di entrare.

Ci sono altre funzionalità come la semplice memorizzazione di una stringa o una password sul dispositivo e quando si fa clic su una password. Abbastanza diretto.